Què és l'exploració del port? És similar a un lladre que passa pel vostre veïnat i comprova cada porta i finestra de cada casa per veure quins estan oberts i quins estan tancats.
TCP ( protocol de control de transmissió ) i UDP (protocol de dades de l'usuari) són dos dels protocols que conformen el paquet de protocol TCP / IP que s'utilitza de forma universal per comunicar-se a Internet. Cadascun d'aquests té ports 0 a 65535 disponibles, de manera que essencialment hi ha més de 65,000 portes per bloquejar-se.
Els primers 1024 ports TCP s'anomenen els ports ben coneguts i estan associats amb serveis estàndard com FTP, HTTP, SMTP o DNS . Algunes de les adreces de més de 1023 també tenen serveis comunament associats, però la majoria d'aquests ports no estan associats a cap servei i estan disponibles per a un programa o aplicació a utilitzar per comunicar-se.
Com funciona el blocatge de ports
El programari d'escaneig de ports, en el seu estat més bàsic, simplement envia una sol · licitud per connectar-se a l'equip objectiu en cada port de forma seqüencial i fa una nota de quins ports han respost o semblen obert a sondes més detallades.
Si l'exploració del port s'està realitzant amb intencions malicioses, l'intrús preferiria generalment no detectar-se. Les aplicacions de seguretat de xarxa es poden configurar per alertar els administradors si detectaven sol·licituds de connexió en un ampli rang de ports des d'un sol host. Per solucionar-ho, l'intrús pot fer l'exploració del port en mode estroboscòpic o sigil. Strobing limita els ports a un objectiu més petit en comptes de manejar l'escaneig dels 65536 ports. L'escaneig de Stealth utilitza tècniques com la ralentització de l'escaneig. Si escanegeu els ports durant un període de temps molt més llarg, reduïu la probabilitat que l'objectiu activi una alerta.
En configurar diferents marques TCP o enviar diferents tipus de paquets TCP, l'exploració del port pot generar resultats diferents o localitzar ports oberts de diferents maneres. Un escàner SYN us dirà a l' escàner del port que escolta els ports i que no depèn del tipus de resposta generada. Una exploració FIN generarà una resposta de ports tancats, però els ports oberts i escoltats no enviaran resposta, de manera que l'escàner del port podrà determinar quins ports estan oberts i quins no.
Hi ha una sèrie de mètodes diferents per a realitzar les exploracions del port real, així com també trucs per amagar la veritable font d'una exploració de ports. Podeu llegir més sobre alguns d'aquests visitant aquests llocs web: Exploració de l'exploració del port o de la xarxa.
Com monitoritzar les exploracions de ports
És possible controlar la vostra xarxa per a exploracions de ports. El truc, com passa amb la majoria de les coses en la seguretat de la informació , és trobar l'equilibri adequat entre el rendiment de la xarxa i la seguretat de la xarxa. Podeu fer el seguiment de les exploracions SYN en iniciar qualsevol intent d'enviar un paquet SYN a un port que no estigui oberta o escoltant. No obstant això, en comptes d'haver estat alertat cada vegada que es produeix un sol intent-i possiblement despertar-se enmig de la nit per un error d'una altra manera innocent-, hauríeu de decidir els llindars per activar l'alerta. Per exemple, podeu dir que si hi ha més de 10 intents de paquets SYN a ports no escoltants en un minut donat que s'hauria d'activar una alerta. Podríeu dissenyar filtres i trapes per detectar diversos mètodes d'exploració de ports, observant un augment dels paquets FIN o simplement un nombre anòmal d'intents de connexió a diversos ports i / o adreces IP des d'una única font IP.
Per ajudar a garantir que la vostra xarxa està protegida i protegida, és possible que vulgueu realitzar les vostres pròpies exploracions de ports. Una aclaració important aquí és assegurar-se que tingui l'aprovació de tots els poders que hi hagi abans d'embarcar-se en aquest projecte per no trobar-vos al costat equivocat de la llei. Per obtenir resultats precisos, pot ser que sigui millor realitzar l'exploració de port des d'una ubicació remota utilitzant equips no comercials i un altre ISP . Usant programari com NMap, podeu escanejar un rang d' adreces IP i ports i descobrir què un atacant veuria si volgués escanejar la vostra xarxa. NMap, en particular, us permet controlar gairebé tots els aspectes de l'escaneig i realitzar diversos tipus d'exploracions de ports per satisfer les vostres necessitats.
Una vegada que esbrini quins ports respon que està obert per l'exploració del port de la seva pròpia xarxa, podeu començar a treballar per determinar si és realment necessari que aquests ports siguin accessibles des de fora de la vostra xarxa. Si no són necessaris, hauríeu de tancar-los o bloquejar-los. Si són necessaris, podeu començar a investigar quina vulnerabilitat i explotació de la vostra xarxa està oberta tenint aquests ports accessibles i treballar per aplicar els pegats o mitigacions adequats per protegir la vostra xarxa tant com sigui possible.